Software, Support, Documentation
|
|
News,
Internal,
Projects,
Home Software, Support, Documentation |
On Fri, Oct 01, 2004 at 03:23:45PM +0900, SoonPC wrote: > 안녕하세요~ ^^ > > 또 오랜만에 질문 드립니다. 모두들 추석은 잘 보내셨는지요~ > > 경기가 너무 안 좋습니다. IT 쪽이 다시 살아나길~~~ > > > (질문시작) > > 데몬이 올라오지 않은것 같다고 연락이 와서 확인해 본 결과, > > 연동되어 있는 서버 두대가 리붓이 되어 있네요. > > 제가 생각하기에는 > > 1. IDC쪽의 전원 관리 문제 > 2. 루트 권한을 가진 내부 관리자가 리붓 > 3. 해킹 > > > 이렇게 생각하고 IDC쪽에 문의한 결과 당연히 -_-;;; 전원 내려 간적 없다고 하더군요.. IDC의 전원이 잘못될 확률은 무지 낮습니다. IDC를 신뢰하지 못하는듯 하군요. IDC직원이 작업중 실수로 파워를 ON/OFF할수는 있지만 이또한 가능성이 적습니다. > > 일단 로그를 확인해서 시간의 엇 비슷하면 IDC쪽 문제일 가능성이 높다고 생각되어 > > 라스트 로그를 보던 중 뭔가 이상한걸 발견했습니다. > > > 첫번째 서버. > > user1 ttyp1 210.211.167.16 월 9 27 18:51 - 18:52 (00:00) > user1 ttyp0 210.211.167.16 월 9 27 18:51 - 19:00 (00:08) > user1 ttyp1 210.211.167.16 월 9 27 13:18 - 13:19 (00:01) > user1 ttyp0 210.211.167.16 월 9 27 13:13 - 13:19 (00:06) > reboot ~ 일 9 26 19:33 > user2 ftp 210.114.225.29 일 9 26 19:13 - 19:13 (00:00) > user2 ftp 220.84.18.92 일 9 26 17:54 - 17:54 (00:00) > user2 ftp 210.22.136.154 일 9 26 13:59 - 14:19 (00:20) > user2 ftp 210.149.47.33 일 9 26 13:32 - 13:32 (00:00) > user2 ftp 219.220.106.84 일 9 26 12:57 - 12:59 (00:02) > user2 ftp 220.223.240.11 일 9 26 12:40 - 12:41 (00:00) > user2 ftp 220.189.210.12 일 9 26 12:27 - 12:27 (00:00) > > 두번째 서버. > > user6 ftp 211.220.136.11 목 9 30 19:58 - 19:58 (00:00) > user6 ttyp0 211.220.136.11 목 9 30 19:56 still logged in > reboot ~ 목 9 30 19:53 > shutdown ~ 금 10 1 04:51 > shutdown ~ 금 10 1 04:40 > shutdown ~ 금 10 1 04:30 > shutdown ~ 금 10 1 04:24 > shutdown ~ 금 10 1 04:20 > shutdown ~ 금 10 1 04:16 > shutdown ~ 금 10 1 03:42 > user5 ftp 221.151.163.179 일 9 26 10:48 - shutdown (4+16:54) > user4 ftp 211.221.183.107 일 9 26 10:40 - shutdown (4+17:02) > user1 ftp 211.220.181.140 일 9 26 10:33 - shutdown (4+17:09) > user1 ftp 211.220.181.140 일 9 26 10:33 - 10:33 (00:00) > user1 ftp 211.220.181.140 일 9 26 10:33 - 10:33 (00:00) > user1 ftp 211.220.181.140 일 9 26 10:32 - 10:32 (00:00) > user1 ftp 211.220.181.140 일 9 26 10:32 - 10:32 (00:00) > user1 ftp 211.220.181.140 일 9 26 10:32 - 10:32 (00:00) > user1 ftp 211.220.181.140 일 9 26 10:32 - 10:32 (00:00) > user1 ftp 211.220.181.140 일 9 26 10:32 - 10:32 (00:00) > user1 ftp 211.220.181.140 일 9 26 10:31 - 10:31 (00:00) > user1 ftp 211.220.181.140 일 9 26 10:00 - 10:00 (00:00) > user1 ftp 211.220.181.140 일 9 26 10:00 - 10:00 (00:00) > user3 ftp 228.220.197.151 일 9 26 09:45 - shutdown (4+17:57) > user1 ftp 211.220.181.140 일 9 26 09:28 - 10:01 (00:33) > user1 ftp 211.220.181.140 일 9 26 09:28 - 09:28 (00:00) > user1 ftp 211.220.181.140 일 9 26 09:28 - 09:28 (00:00) > user1 ftp 211.220.181.140 일 9 26 09:28 - 09:28 (00:00) > user1 ftp 211.220.181.140 일 9 26 09:27 - 09:27 (00:00) > user1 ftp 211.220.181.140 일 9 26 09:27 - 09:27 (00:00) > user1 ftp 211.220.181.140 일 9 26 09:27 - 09:27 (00:00) > user1 ftp 211.220.181.140 일 9 26 09:26 - 09:26 (00:00) > user2 ftp 220.210.240.112 일 9 26 09:15 - shutdown (4+18:27) > user2 ftp 220.210.240.112 일 9 26 09:15 - 09:15 (00:00) > user1 ftp 211.220.181.140 일 9 26 08:53 - 09:28 (00:35) > user1 ftp 211.220.181.140 일 9 26 08:52 - 08:52 (00:00) > user1 ftp 211.220.181.140 일 9 26 08:52 - 08:52 (00:00) > > > 이 라스트 로그는 30일날 저장한건데요 10월 1일자 로그가 있습니다. 이어서는 정상부팅한 30일자가 나오구요. > > 이 부분에서 누가 해킹을 한것 같은데.. 이렇게 유추해도 무리가 없는건지요? > /var/run/utmp와 /var/log/wtmp에는 로그인 정보를 기록합니다. 따라서 그 기간에 로그인사용자가 없다면 기록이 남아있지 않습니다. > 또한 reboot 명령으로 정상적으로 리붓해도 라스트 로그에는 reboot 이라고만 나와서 누가 리붓했는지 알수가 없는데, > > 이럴 경우에는 누가 리붓이나 셧다운을 했는지 알 수 있는 방법이 있을까요? > accton(8) > 한쪽은 리붓이고 한쪽은 셧다운이라고 나오니... > > > #auth.log 와 messages 화일에는 특이한 점이 없었습니다. > > /var/log/messages > > Sep 19 13:08:44 root proftpd[76949]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'upload' > Sep 19 13:08:45 root proftpd[76949]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'up' > Sep 19 13:08:45 root proftpd[76949]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'test' > Sep 19 13:08:46 root proftpd[76951]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'movieup' > Sep 19 13:08:47 root proftpd[76951]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'tvup' > Sep 19 13:08:47 root proftpd[76951]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'softup' > Sep 19 13:08:48 root proftpd[76954]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'comicup' > Sep 19 13:08:49 root proftpd[76954]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'upload' > Sep 19 13:08:49 root proftpd[76954]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'up' > Sep 19 13:08:50 root proftpd[76956]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'test' > Sep 19 13:08:51 root proftpd[76956]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'movieup' > Sep 19 13:08:51 root proftpd[76956]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'tvup' > Sep 19 13:08:52 root proftpd[76958]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'softup' > Sep 19 13:08:53 root proftpd[76958]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'comicup' > Sep 19 13:08:53 root proftpd[76958]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'upload' > Sep 19 13:08:54 root proftpd[76960]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'upload' > Sep 19 13:08:55 root proftpd[76960]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'up' > Sep 19 13:08:55 root proftpd[76960]: 220.211.138.14 (61.172.95.238[61.172.95.238]) - no such user 'ftp' > > 이 사전공격은 참 주기적으로 오네요.. ㅡ,ㅡ > > /var/log/auth.log > > Sep 23 09:36:32 root sshd[44669]: Illegal user test from 218.93.124.211 > Sep 23 09:36:38 root sshd[44671]: Illegal user guest from 218.93.124.211 > Sep 23 09:36:45 root sshd[44673]: Illegal user admin from 218.93.124.211 > Sep 23 09:36:51 root sshd[44675]: Illegal user admin from 218.93.124.211 > Sep 23 09:36:57 root sshd[44677]: Illegal user user from 218.93.124.211 > Sep 23 09:37:09 root sshd[44679]: User root not allowed because not listed in AllowUsers > > > > chkrootkit 하고 Rootkit Hunter로 체크 해보니 백도어는 발견되지 않았습니다. > > 근데 Rootkit Hunter로 보니 서버 두곳 모두 보안버그 프로그램이 있다고 나옵니다. (서버 두대가 환경이 같습니다.) > > - Apache 1.3.29 [ Vulnerable ] > - Bind DNS 8.3.7 [ Unknown ] > - OpenSSL 0.9.7c [ Vulnerable ] > - OpenSSL 0.9.7c [ Vulnerable ] > - PHP 4.3.4RC1 [ Unknown ] > - ProFTPd 1.2.9 [ Vulnerable ] > - OpenSSH 3.5p1 [ Vulnerable ] > 프로그램에의한 감지는 정확도가 많이 떨어집니다. 만일 커널이 변조되었다면 그리고 파일의 hash값을 외부의 안전한 곳에 저장하지 않았다면 침입을 탐지하 기는 매우 어렵습니다. 보안문제도 있으니까 4.10을 설치하는게 좋겠습니다. > # uname -a > FreeBSD domain.org 4.9-STABLE FreeBSD 4.9-STABLE #0: Sat Dec 27 22:45:53 KST 2003 root@xxxxxxxxxx:/usr/obj/usr/src/sys/KERNEL i386 > > > 다른 로그 화일들로 체크 해 보았는데, 당체 원인이 뭔지 아직 감을 못 잡고 있습니다. ㅠ.ㅠ 이 상황을 어떻게 유추하면 좋을까요? > > > 사족으로 dmesg 마지막에 나오는 이줄은 뭘 하라는건지요? > > Sep 26 19:34:16 root /kernel: /var: optimization changed from SPACE to TIME > 아마도 불필요한 파일을 삭제해서 어느 디스크의 여유공간이 조금 늘어난 모양입니다. tunefs(8) -- Pyun YongHyeon <http://www.kr.freebsd.org/~yongari> _______________________________________________ 한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트 questions at kr.FreeBSD.org http://www.kr.FreeBSD.org/mailman/listinfo/questions
|
Copyright © 1998-2005 Korea FreeBSD Users Group. All rights reserved. webmaster at kr.FreeBSD.org $Date: 2004/10/02 21:59:29 $ |
|